безопасные спецсимволы MySQL

1) Там не сказано, что эскейпинг не работает. Более того, автор сам его использует.
2) Там сказано, что эскейпинг не спасет от некорректных данных, идущих в БД. Когда вместо строки отдают число или наоборот. Это может использоваться для инъекций второго порядка. И проблема это не эскейпинга, а разработчика с кривыми руками.
3) Смотрим в книгу, видим....

 

теперь скажи пожалуйста, где там скомпрометирована функция эскейпинга?

 

ну кроме этих тезисов, есть какие-то ДОКАЗАТЕЛЬСТВА ТЕЗИСА? =)

 

base64 увеличивает вес данных на треть

 

1) А вы понимаете смысл этой фразы? Вы знаете о чем статья вообще, что имелось ввиду?
2) Вы статью-то читали ту дальше этой фразы?
3) Вы код автора статьи смотреть не пробовали? Будете удивлены.

Повторюсь речь шла не о "эскейпинг бесполезен! паник ин зе эир!!!". Речь там идет о том, что эскейпинг не гарантирует безопасность, если разработчик - балбес. И там объясняется, почему плейсхолдеры более надежны, так как сводят на нет человеческий фактор в плане обработки входящих данных.

 

Я сам сишник, плюсовик(и QTист), шарповик, явист, паскалист, MELист, в общем пых - не первый язык. Ну нету в похапе функции generate_shit_code($fucking_shame). Ну нет и все. Если человек говнокодер, у него везде говнокод. Если руки прямые, то везде будет чисто. Можно и на пыхе писать как на плюсах и все будет работать. Никто не заставляет генерить абракадабру неуправляемую.

Бло. Перечитайте ту статью на хабре хоть раз полностью. И вдумчиво. Там описано именно как решить проблему тупой головы и кривых рук за счет автоматизации проверок. И есть такая штука - PDO. Там все это реализовано за вас. Входит в состав PHP.

Какие люди? Какой код? Вам не плевать ли на людей, пишущих код и не умеющих с ним совладать? Не растекайтесь мыслью. Думайте здесь и сейчас. Нет никаких людей и абстрактного кода. Есть вы. Есть ваш код. Его не левые люди пишут, а вы. Если вы не знаете, как не наделать дыр, это не проблема языка.